Atacantes atacan dispositivos iOS y Android con software espía en Italia y Kazajistán

Atacantes atacan dispositivos iOS y Android con software espía en Italia y Kazajistán
Atacantes atacan dispositivos iOS y Android con software espía en Italia y Kazajistán

Google ha revelado que los usuarios de Android e iOS en Europa fueron engañados para que instalaran una aplicación maliciosa que luego robaría información personal del dispositivo.

Un informe publicado por Google el jueves tiene hallazgos detallados de sus investigaciones en curso de proveedores comerciales de spyware como parte de su campaña Project Zero.

La compañía nombró a la firma italiana RCS Labs como la probable parte responsable de los ataques. Google alega que RCS Labs usó “una combinación de tácticas” para atacar a los usuarios en Italia y Kazajstán con lo que se considera un “ataque de descarga oculta”.

Un mensaje afirmaría que la víctima ha perdido el acceso a su cuenta o servicios, y deberá iniciar sesión a través del enlace provisto para restaurar el servicio. Los enlaces de instalación enviados por los infames actores se hacían pasar por notificaciones del proveedor de servicios de Internet o de la aplicación de mensajería.

Una vez que la víctima se conectaba al sitio vinculado, se le mostraban logotipos reales y avisos realistas para restablecer la cuenta, con el enlace para descargar la aplicación maliciosa escondido detrás de botones e íconos de aspecto oficial. Por ejemplo, una de las muchas variantes de la aplicación utilizada en la campaña instalada tenía un logotipo de Samsung como icono y apuntaba a un sitio web falso de Samsung.

La versión de Android del ataque usó un archivo .apk. Dado que las aplicaciones de Android se pueden instalar libremente desde fuera de la tienda Google Play, no fue necesario que los actores convencieran a las víctimas para que instalaran un certificado especial.

A las víctimas con dispositivos Android se les otorgaron muchos permisos a los atacantes, como acceso a estados de red, credenciales de usuario, detalles de contacto, lectura de dispositivos de almacenamiento externo proporcionados.

Luego, se instruyó a las víctimas que usaban iOS para que instalaran un certificado empresarial. Si el usuario siguió el proceso, el certificado debidamente firmado permitió que la aplicación malintencionada eludiera las protecciones de la App Store después de la descarga.

La versión de iOS de la aplicación maliciosa usó seis exploits de sistema diferentes para extraer información del dispositivo, con la aplicación dividida en varias partes, cada una usando un exploit específico. Cuatro de estos exploits fueron escritos por la comunidad de jailbreak para eludir la capa de verificación y desbloquear el acceso completo de raíz al sistema.

Debido al sandboxing de iOS, la cantidad de datos extraídos tenía un alcance limitado. Si bien se obtuvieron datos como la base de datos local de la aplicación de mensajería WhatsApp de las víctimas, el sandboxing evitó que la aplicación interactuara directamente y robara información de otras aplicaciones directamente.

Google ha emitido advertencias a las víctimas de Android de esta campaña. La compañía también realizó cambios en Google Play Protect, además de deshabilitar ciertos proyectos de Firebase utilizados por los atacantes. No está claro si Apple ha invalidado el certificado.

Los usuarios de Apple han sido durante mucho tiempo el objetivo de los actores nefastos. En enero de 2022, los agentes del gobierno lograron introducir malware en los dispositivos Mac de los activistas a favor de la democracia. Más recientemente, en abril, un ataque de phishing en la cuenta de iCloud de una víctima provocó el robo de activos por valor de $ 650,000.

Los propietarios de dispositivos iOS o iPadOS están protegidos contra ataques de este tipo si no instalan certificados fuera de su organización. También es una buena práctica que cualquier usuario se comunique directamente con una empresa utilizando métodos claros de comunicación establecidos antes del mensaje si tiene alguna pregunta sobre un llamado a la acción realizado a través de los servicios de mensajería.

The article is in English

Tags: Atacantes atacan dispositivos iOS Android con software espía Italia Kazajistán

.

PREV Jugabilidad de Final Fantasy 16 impulsada por PS5 Power
NEXT Atacantes atacan dispositivos iOS y Android con software espía en Italia y Kazajistán